Para proteger los entornos de nube, es necesario proteger las cuentas de gestión de identidades y accesos frente a las brechas de seguridad. Si un atacante consigue acceder a una cuenta de usuario con privilegios, podrá hacer cambios en un entorno de nube. Por eso, es fundamental detectar posibles vulneraciones para proteger a organizaciones de todos los tamaños. Para ayudar a las organizaciones a mantener la seguridad,Google Cloud registra las acciones sensibles que realizan las cuentas de usuario de IAM y notifica directamente a los administradores de la organización sobre esas acciones a través de las notificaciones de asesoramiento.
Las acciones sensibles son aquellas que pueden tener un efecto negativo significativo en tu Google Cloud organización si las lleva a cabo un agente malicioso con una cuenta vulnerada. Estas acciones por sí solas no representan necesariamente una amenaza para tu organización ni indican que se haya vulnerado la seguridad de una cuenta. Sin embargo, te recomendamos que confirmes que las acciones las han llevado a cabo tus usuarios con fines legítimos.
Quién recibe notificaciones de acciones sensibles
Google Cloud notifica a tu organización las acciones sensibles enviando una notificación por correo a los contactos esenciales de tu organización por motivos de seguridad. Si no hay contactos esenciales configurados, la notificación por correo se envía a todas las cuentas que tengan el rol de gestión de identidades y accesos de administrador de la organización en el nivel de la organización.
Inhabilitar la función
Si no quieres recibir notificaciones de acciones sensibles en tu organización, puedes inhabilitarlas. Para obtener más información, consulta Configurar notificaciones. Si rechazas las notificaciones de acciones sensibles, solo se verán afectadas las notificaciones que se envíen a través de Notificaciones de Asesoramiento. Los registros de acciones sensibles se generan siempre y no se ven afectados por la inhabilitación de las notificaciones. Si usas Security Command Center, el servicio Acciones sensibles no se verá afectado por la inhabilitación de las notificaciones de Acciones sensibles.
Cómo funciona Acciones sensibles
Google Cloud detecta acciones sensibles monitorizando los registros de auditoría de la actividad del administrador de tu organización. Cuando se detecta una acción sensible, Google Cloud escribe la acción en el registro de la plataforma del servicio de acciones sensibles en el mismo recurso en el que se ha producido la actividad. Google Cloud También incluye el evento en una notificación enviada a través de Notificaciones de asesoramiento.
Frecuencia de notificación
La primera vez que se observe una acción sensible en tu organización, recibirás un informe que incluirá la acción inicial y cualquier otra acción que se produzca en la hora siguiente. Después del informe inicial, recibirás informes sobre las nuevas acciones sensibles de tu organización como máximo una vez cada 30 días. Si no se han realizado acciones sensibles en tu organización durante mucho tiempo, es posible que recibas el informe de una hora la próxima vez que se observe una acción sensible.
Cuando no se producen acciones sensibles
Google Cloud Solo informa de las acciones sensibles si la entidad que las realiza es una cuenta de usuario. No se informa de las acciones realizadas por una cuenta de servicio. Google ha desarrollado esta función para protegerse frente a los adversarios que obtienen acceso a las credenciales de los usuarios finales y las usan para llevar a cabo acciones no deseadas en entornos de nube. Como muchas de estas acciones son comportamientos habituales de las cuentas de servicio, no se generan registros ni notificaciones de asesoramiento para estas identidades.
Las acciones sensibles no se pueden detectar si has configurado los registros de auditoría de actividad del administrador para que se ubiquen en una región específica (es decir, que no sea la región global). Por ejemplo, si has especificado una región de almacenamiento para el _Required de registros de un recurso concreto, no se podrán analizar los registros de ese recurso para detectar acciones sensibles.
Si has configurado tus registros de auditoría de actividad de administrador para que se cifren con claves de cifrado gestionadas por el cliente, no se podrán analizar en busca de acciones sensibles.
Acciones sensibles en Security Command Center
Si usas Security Command Center, puedes recibir acciones sensibles como resultados a través del servicio Acciones sensibles.
Aunque los registros de acciones sensibles y las notificaciones de asesoramiento ofrecen una perspectiva del comportamiento de las cuentas de tu organización, Security Command Center proporciona información valiosa adicional y funciones de gestión para los equipos de seguridad que protegen cargas de trabajo y entornos más complejos, grandes o importantes. Te recomendamos que monitorices las acciones sensibles como parte de tu estrategia general de monitorización de la seguridad.
Para obtener más información sobre Security Command Center, consulta los siguientes recursos:
Precios
Las notificaciones de acciones sensibles en las notificaciones informativas se proporcionan sin coste adicional. Los registros de acciones sensibles de Cloud Logging generan costes de ingestión y almacenamiento de acuerdo con los precios de Logging. El volumen de entradas del registro de acciones sensibles depende de la frecuencia con la que las cuentas de usuario de tu organización realicen acciones sensibles. Estas acciones suelen ser poco habituales.
Tipos de acciones sensibles
Google Cloud te informa de los siguientes tipos de acciones sensibles.
Sensitive Roles Added
Se ha concedido a una entidad principal un rol de gestión de identidades y accesos de propietario (roles/owner) o editor (roles/editor) a nivel de organización. Estos roles permiten realizar un gran número de acciones en toda la organización.
Billing Admin Removed
Se ha quitado el rol de gestión de identidades y accesos de administrador de cuenta de facturación (roles/billing.admin) a nivel de organización. Si se elimina este rol, los usuarios no podrán ver la información y se proporcionará un mecanismo para que un adversario no sea detectado.
Organization Policy Changed
Se ha creado, actualizado o eliminado una política de la organización a nivel de organización. Las políticas de la organización de este nivel pueden afectar a la seguridad de todos los recursos deGoogle Cloud de tu organización.
Project-level SSH Key Added
Se ha añadido una clave SSH a nivel de proyecto a un proyecto que no tenía ninguna. Google Cloud Las claves SSH a nivel de proyecto pueden conceder acceso a todas las máquinas virtuales (VMs) del proyecto.
GPU Instance Created
Una persona que no había creado una instancia de GPU recientemente en un proyecto creó una VM con una GPU en ese proyecto. Las instancias de Compute Engine con GPUs pueden alojar cargas de trabajo como la minería de criptomonedas.
Many Instances Created
Un usuario ha creado varias instancias de VM en un proyecto determinado. Se puede usar un gran número de instancias de VM para cargas de trabajo inesperadas, como la minería de criptomonedas o los ataques de denegación de servicio.
Many Instances Deleted
Un usuario ha eliminado varias instancias de VM en un proyecto determinado. Un gran número de eliminaciones de instancias puede afectar a tu empresa.
Siguientes pasos
- Consulta cómo ver las notificaciones.
- Consulta cómo responder a las notificaciones de acciones sensibles.
- Consulta cómo habilitar o inhabilitar las notificaciones.